Festi es un rootkit y una botnet también conocida por su alias Spamnost , y participa principalmente en ataques de spam de correo electrónico y de denegación de servicio . Funciona bajo sistemas operativos de la familia Windows. En otoño de 2009 [1] [2] Festi apareció por primera vez en la vista de las empresas dedicadas al desarrollo y venta de software antivirus . En ese momento se estimaba que la botnet en sí constaba de aproximadamente 25.000 máquinas infectadas, mientras que tenía una capacidad de volumen de spam de aproximadamente 2.500 millones de correos electrónicos no deseados al día. [3] [4] [5] Festi mostró la mayor actividad en 2011-2012. [6] [7] Estimaciones más recientes, fechadas en agosto de 2012, muestran que la botnet envía spam desde 250.000 direcciones IP únicas, una cuarta parte de la cantidad total de un millón de IP detectadas que envían correos spam. [8] La principal funcionalidad de la botnet Festi es el envío de spam y la implementación de ciberataques como " denegación de servicio distribuida ". [9]
La distribución se realiza con el uso del esquema PPI (Pago Por Instalación) [10] . Para evitar la detección por parte de los antivirus, el cargador amplía el cifrado [10], lo que complica la detección basada en firmas .
Todos los datos representados sobre la arquitectura de la botnet los hemos recopilado de la investigación de la compañía antivirus ESET. [10] [11] [12] El cargador descarga y configura un bot que representa un controlador en modo kernel que se agrega a la lista de controladores que se inician junto con un sistema operativo. En el disco duro sólo se almacena la parte del bot que es responsable de la comunicación con el centro de mando y la carga de los módulos. Luego de iniciarse el bot solicita periódicamente al centro de comando recibir una configuración, carga de los módulos y los trabajos necesarios para su ejecución.
De las investigaciones realizadas por los especialistas de la empresa antivirus ESET se sabe que Festi tiene al menos dos módulos. Uno de ellos está destinado al envío de spam (BotSpam.dll), otro a la implementación de ciberataques del tipo "denegación de servicio distribuida" (BotDoS.dll). El módulo para la implementación de ataques cibernéticos como "denegación de servicio distribuido" admite los siguientes tipos de ataques cibernéticos, a saber: inundación TCP, inundación UDP, inundación DNS, inundación HTTP(s) y también paquetes de inundación con un número aleatorio en la cuestión del protocolo utilizado.
El experto del laboratorio de investigación de botnets " Kaspersky Lab " concluyó que hay más módulos, pero no todos se utilizan. Su lista incluye el módulo para implementar el servidor de calcetines (BotSocks.dll) con los protocolos TCP y UDP, el módulo para ver y controlar remotamente la computadora del usuario (BotRemote.dll), el módulo que implementa la búsqueda en un disco del computadora remota y en una red de área local (BotSearch.dll) a la que está conectada la computadora remota, módulos grabber para todos los navegadores conocidos actualmente (BotGrabber.dll).
Los módulos nunca se guardan en un disco duro, lo que hace casi imposible su detección.
El bot utiliza el modelo cliente-servidor y para su funcionamiento implementa su propio protocolo de interacción de red con el centro de comando, que se utiliza para recibir la configuración de una botnet, cargar módulos, así como para recibir trabajos del centro de comando y notificar al centro de comando sobre su ejecución. . Los datos están codificados, lo que interfiere con la determinación del contenido del tráfico de la red.
En caso de instalación, el bot apaga el firewall del sistema , oculta el controlador en modo kernel y las claves del registro del sistema necesarias para la carga y el funcionamiento, se protege a sí mismo y a las claves del registro para que no se eliminen. La operación con una red ocurre a un nivel bajo que permite eludir fácilmente los filtros de red del software antivirus. Se observa el uso de filtros de red para impedir su instalación. El bot comprueba si se ha iniciado en la máquina virtual y, en caso de un resultado positivo de la comprobación, detiene las actividades. Festi comprueba periódicamente la existencia de un depurador y puede eliminar puntos de interrupción .
Festi se crea utilizando tecnología de desarrollo de software orientada a objetos que complica fuertemente las investigaciones mediante el método de ingeniería inversa y hace que el bot sea fácilmente portado a otros sistemas operativos.
Todo el control de la botnet Festi se realiza a través de una interfaz web y se realiza a través del navegador.
Según los especialistas de la empresa antivirus ESET, [12] el periodista y bloguero estadounidense Brian Krebs , [13] el experto en el campo de la seguridad de la información, según el periodista estadounidense del periódico The New York Times Andrew Kramer, [14] y también del Fuentes cercanas a los servicios de inteligencia rusos, el arquitecto y desarrollador de la botnet Festi, el hacker ruso Igor Artimovich .
En conclusión, se puede decir que la botnet Festi era una de las botnets más poderosas para enviar spam y llevar a cabo ataques como "denegación de servicio distribuida". Los principios mediante los cuales se construye la botnet Festi aumentan la vida útil de los bots en el sistema tanto como sea posible, lo que dificulta la detección de bots por parte del software antivirus y los filtros de red. El mecanismo de los módulos permite ampliar la funcionalidad de la botnet en cualquier lado mediante la creación y carga de los módulos necesarios para lograr diferentes objetivos, y el enfoque de desarrollo orientado a objetos complica la investigación de la botnet con el uso de métodos de ingeniería inversa y da la Posibilidad de que el bot se traslade a otros sistemas operativos a través de una demarcación precisa de la funcionalidad específica de un sistema operativo concreto y la lógica restante del bot. Los potentes sistemas de lucha contra la detección y la depuración hacen que el bot Festi sea casi invisible y sigiloso. El sistema de vinculación y uso de centros de mando de reserva ofrece la posibilidad de recuperar el control sobre la botnet después del cambio de centro de mando. Festi es un ejemplo atípico de software malicioso, ya que sus autores se tomaron muy en serio el proceso de desarrollo. [15]